根据Ponemon研究机构的研究发现,当发生数据泄露的时候,首席信息安全官的强有力的领导将缓解数据写了对企业造成的损失。
该研究机构最近对五个国家(包括美国、英国、澳大利亚、法国和德国)的数据泄露进行了研究并发现,数据泄露事故发生后,首席信息安全官的参与平均能够为每条泄露的数据减少21%的损失,而降低损失比率最大的是在美国和德国,损失分别减少了45%和33%。尽管如此,在美国和德国分别只有40%和36%的数据泄露事故是由首席信息安全官来管理的。
“集中企业数据管理和保护的方法通常意味着采取凝聚性的策略,而不是临时性的办法,”Ponemon研究机构的主席Larry Ponemon表示,“不同部门可能都会采取截然不同的方法来处理信息安全问题,而却没有人是从企业最佳利益角度出发的。一个优秀的首席信息安全官/首席安全官能够很好地理解企业的使命,并能调集现有资源以确保企业各个部门都根据企业使命来工作,且充分认识相关法律法规、内部政策和行业最佳做法。”
此次调查对2009年企业遭受的数据泄露事故进行了研究,调查结果显示,美国去年的数据泄漏事故平均造成损失为675万美元,每条泄露数据损失为204美元,五个国家的数据平均每条为142美元。
在设有数据泄露通知法律的国家(如美国)通常损失都是最高的,例如,美国每条泄露数据的损失比全球平均水平高出43%。而在2009年7月刚刚通过数据泄漏立法的德国在损失方面则名列第二,比全球平均水平高出25%。
“企业通常会尽最大可能地采取措施以避免泄露事故进入公众视野,”Ponemen表示,“这意味着需要投资于预防性措施,可能这其中的理由会让人感到愤世嫉俗,但如果企业能够采取措施来预防严重的数据泄漏成为报纸头条,那么这绝对要算一个减少损失的积极的做法。”
虽然数据泄漏的成本每年都有波动,但是有一点是不变的:员工疏忽是造成数据泄露的主要原因。Ponemon研究机构表示,在美国有40%的数据泄漏是因为员工疏忽造成的,而只有四分之一以下(24%)的泄露事故是因为恶意攻击或者网络犯罪攻击造成的。
“这些数据让人感到很沮丧,因为解决员工疏忽问题似乎是数据保护中最简单最省钱的办法,”Ponemon表示,“不要将你的智能手机丢在的士内,不要接入不安全的家庭网络,不要禁用笔记本的加密,员工教育和意识培养可以建立一种更加警觉更安全的文化,也可以避免绝大部分数据泄漏事故的发生。”
不过研究发现,由于疏忽造成的数据泄漏往往比其他泄露的损失要小。恶意攻击会对企业造成最严重的影响,并且损失也是最大,恶意攻击在没有数据泄露通知法律的国家损失更大。例如,法国和澳大利亚的恶意攻击造成的每条泄露数据的损失分别比平均水平搞121%和61%,相反地,在美国,每条数据损失进上升7%。
该调查建议企业采取一系列步骤来减少数据泄露的发生,或者尽量减小数据泄露的影响,包括“确保便携式数据装载设备加密,审批和评估与之共享数据的第三方的安全状态等。
“如果某企业被认为疏忽对待重要数据的话,该企业的声誉将受到影响,”PGP公司的首席执行官Phillip Dunkelberger表示,“数据就像货币一样,是需要保护的。数据泄漏通知法律意味着需要告知客户,世界上越来越多的国家开始寻找加强数据保护的办法,因为他们意味着丢失数据将意味着丢失客户。”